Sécurisation d'une passerelle debian

Sécurisation d'une passerelle debian - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 18-01-2003 à 22:06:32    

bjr tt le monde,
 
Voilà le topo : j'ai chez moi une machine sous debian woody qui me sert de passerelle pour mes autres pc .
Tous les ports sont fermés depuis l'exterieur, mais j'ai bcp de services qui tournent en local(apache, mysql, postfix ...).
Je viens d'installer un webmail pour recuperer les mails de mes nombres boites, + la boite locale et je voudrais pouvoir me connecter à mon webmail depuis le net.
Je vais donc ouvrir le port 80 et m'inscrire chez no-ip.com.
J'envisage peut etre aussi de mettre mon site web sur ma becane.
 
Avant cela, je voudrais savoir quoi sécuriser pour éviter toute mauvaise surprise  :) .
 
Mon firewall iptable joue son rôle, mais c'est surtout au nivo de mon webmail (uebimiau) et donc de apache+sql que je voudrais blinder le truc.
 
Alors que vérifier, que modifier ?
thks.


---------------
Celui qui excelle ne discute pas, il maîtrise sa science et se tait.
Reply

Marsh Posté le 18-01-2003 à 22:06:32   

Reply

Marsh Posté le 18-01-2003 à 22:27:33    

bah deja pour securiser apache va falloir ke tu t accroches, parce que c est pas repute pour etre un truc simple
 
j vais voulu faire ca un jour (tu te rappeles pour mon site web avec mon rapport de stage lol :D) et j ai vite abandonne!!!
 
car :  
1. c cho!
2. fo bien commaitre les nombreuses failles http (alors avec php je t en parle meme pas !)
3. fo etre constament en train de matter les logs pour voir si tu te fais pas attaquer :D
4. bah c est deja pas mal!!!
 
pk ne pas heberger ca sur free ou freesurf??
 
car la c est eux ki prennent les risques !!
 
ps : si tu pouvais m aider a installer mes drivers ati en passant chez moi ca serait cool lol :D

Reply

Marsh Posté le 18-01-2003 à 23:03:22    

Moi je propose un apt-get update, puis apt-get upgrade régulierement et un linux a jour (pas de kernel 2.4.11 par exemple). C tout.

Reply

Marsh Posté le 18-01-2003 à 23:55:48    

et pour apache ??
 
y a une montagne de piege dans ce truc !!!
y a tellement d option ...

Reply

Marsh Posté le 19-01-2003 à 09:10:17    

Si tu laisses les conf par défaut, ça passe sans problème. Je parle là de debian biensur, pour les autres j'en sais rien du tout.
Après, avec le php par exemple, je pense pas qu'on puisse ouvrir une failles juste en l'activant dans la conf d'apache... Il faudrait vraiment chercher les merdes pour réussir d'ailleur :)
 
De toute façon, il faut lire la doc, et pour apache elle ne doit pas faire quelques lignes :D Sinon un bon manuel sur l'installation et la configuration d'apache suffira.

Reply

Marsh Posté le 19-01-2003 à 10:02:40    

ouais, j'ai vu sur lea-linux un tuto pour securiser apache et mysql, je vais deja essayer ça. Mais bon c assez léger.
 
Quand au fait que la conf de debian est sûre par défaut, z'êtes sur de ça ?  :??:


---------------
Celui qui excelle ne discute pas, il maîtrise sa science et se tait.
Reply

Marsh Posté le 20-01-2003 à 10:57:42    

En woody on peut en être sur. Mais personne ne peut commettre aucune erreur..

Reply

Marsh Posté le 20-01-2003 à 11:03:19    

attend; tu est en train de dire k une debian woody c est in cassable en gros ???
 
 
:lol:

Reply

Marsh Posté le 20-01-2003 à 11:38:00    

tomate77 a écrit :

attend; tu est en train de dire k une debian woody c est in cassable en gros ???
 
 
:lol:


 
bhah oui

Reply

Marsh Posté le 20-01-2003 à 11:50:24    

tomate77 a écrit :

attend; tu est en train de dire k une debian woody c est in cassable en gros ???
 
 
:lol:


 
C pas incassable mais les paquets fournis sont connu pour n'avoir aucune vunlérabilité repertorié. Ils sont éprouvé depuis lgtmp (ce qui explique que ce ne sont pas les dernieres versions beta-test-mescouilles), et les rares mises a jour deployé par la branche securité de Debian pour et uniquement pour woody sert justement a corrigé d'eventuelles failles recensées. De plus les fichiers de conf sont par defaut defini pour etre le plus sure possible, interdisant tout ce qui n'est pas explicitement autorisé (sauf cas decrit dans les readme du paquet). Il est evident que cela donne un systeme tres secure.

Reply

Marsh Posté le 20-01-2003 à 11:50:24   

Reply

Marsh Posté le 20-01-2003 à 12:24:08    

mouais, je ne suis pas completement convaincu
 
mais bon, un petit server http a la maison, c est pas non plus la maison blanche, le challenge est pas vraiment haut :D

Reply

Marsh Posté le 20-01-2003 à 12:37:45    

parano a écrit :


 
C pas incassable mais les paquets fournis sont connu pour n'avoir aucune vunlérabilité repertorié. Ils sont éprouvé depuis lgtmp (ce qui explique que ce ne sont pas les dernieres versions beta-test-mescouilles), et les rares mises a jour deployé par la branche securité de Debian pour et uniquement pour woody sert justement a corrigé d'eventuelles failles recensées. De plus les fichiers de conf sont par defaut defini pour etre le plus sure possible, interdisant tout ce qui n'est pas explicitement autorisé (sauf cas decrit dans les readme du paquet). Il est evident que cela donne un systeme tres secure.


 
au niveau des updates de secu c est pareil pour toutes les distros.
 
et non les fichiers de conf sont pas defini pour etre les plus secure possible , sinon uils auraient mis ServenTokens a prod , une page 404 , un banner generique ....
 
 

Reply

Marsh Posté le 20-01-2003 à 13:03:27    

houplaboom42 a écrit :


 
au niveau des updates de secu c est pareil pour toutes les distros.
 
et non les fichiers de conf sont pas defini pour etre les plus secure possible , sinon uils auraient mis ServenTokens a prod , une page 404 , un banner generique ....
 
 


 
Non, ce n'est pas pareil. la woody ce sont des paquets EPROUVE. les autres distribs font des mises a jours des paquets en partant des plus recents, cad qui corrigent les trous de la version precedente, et aussi des bugs, et qui rajoutent souvent des fonctionnalités : tout ceci fait que tu ne peux pas dire que c un paquet secure. Les paquets de la woody n'ont pas de failles de sécurité connu depuis plusieurs mois, les updates de sécurités ne  te donnent pas "la derniere version bugfree", mais la version sans le trou.
 
Enfin une page 404 ou pas n'est pas un trou de sécurité. Le numéro de version ne te donne pas les moyens de rentrer dans un soft car  
 
1) il peut etre faux  
2) cela ne te donne pas moyen de rentrer dedans (super g le numéro je vais chercher les bug connu pour la version woody... merde y'en a pas....)  
3) il existe des softs qui se foutent royalement de la presence d'une page ou pas pour detecter quel version du serveur tu utilises.
 

Reply

Marsh Posté le 20-01-2003 à 15:27:05    

arrette de dire n importequoi , je prends l exemple de security fix
sur samba sendmail t apache pour mandrake
 
http://www.mandrakesecure.net/en/a [...] A-2002:081
http://www.mandrakesecure.net/en/a [...] A-2002:083
http://www.mandrakesecure.net/en/a [...] A-2002:068
 
regarde bien les versions N ONT PAS CHANGES , et c est pareil chez redhat , suse ... ils font tous du backport de patch , justement pour eviter de peter une conf  ( = si le format de la conf change : options n existant plus .... ) lors d un  upgrade
 
qd aux numeros , ou aux entetes  c est toujours un renseignement et ca peut toujours servir sans compter q un  "lynx -dump -head" te donne non seulement la version d apache mais les modules utilisés ( ssl , gzip , php ... )
 
si la version d apache de debian etait reelement securisé ce serait tout dans un chroot avec les variables que j ai dis precedement mise
sur le bon truc
 
mais attention j ai pas dit que la version debian n etait pas securisé , elle l est correctement , mais pas a fond les ballons.
 

Reply

Marsh Posté le 20-01-2003 à 20:10:20    

tomate77 a écrit :

attend; tu est en train de dire k une debian woody c est in cassable en gros ???
 
 
:lol:


Quand tu lis un message, tu lit toute les pharases ?
Je n'ais jamais dit que c'était incassable. D'ailleur ce mot n'existe pas dans le vocabulaire de l'informatique. Mais si tu préfère rire vas y, je peux pas t'obliger a lire l'odieuse phrase qui se trouvait a la suite de la première :
  Mais personne ne peut commettre aucune erreur..
C'est bon, ça n'a pas fait mal sans lubrifiant ?

Reply

Marsh Posté le 20-01-2003 à 20:53:37    

bon donc en clair à vous lire j'ai pas trop à m'en faire.
Sinon, pour reprende l'expression de houplaboom42, que faire pour sécuriser le tout à fond les ballons  :)  
A part le tuto de lea-linux (methode .htaccess), vous auriez d'autres liens par hazard ?  


---------------
Celui qui excelle ne discute pas, il maîtrise sa science et se tait.
Reply

Marsh Posté le 21-01-2003 à 20:31:28    

Apache sans faille connue + mysql sans faille connue + php sans faille connue et scripts programmés proprement.
 
chroot de apache, apache sans utilisateur root, ssl pour eviter que les mdp passent en clair
ne pas permettre l'accès à mysql depuis l'exterieur (uniquement avec l'utilisateur de php depuis localhost)
 
et il y a certainement d'autres trucs mais je ne vois pas...

Reply

Marsh Posté le 21-01-2003 à 20:53:04    

D'ailleurs, la version 4.3.0 est sortie, et elle paraît assez secure ... elle a été longuement testée, il semblerait qu'elle soit un bon choix. Il y a aussi ce petit site qui peut t'intéresser :
http://www.phpsecure.org


---------------
"You know the name, You know the number..."
Reply

Marsh Posté le 22-01-2003 à 10:29:33    

j y pense si tu utilises une debian , virer ce qui ne devrait pas etre par default ( un autre truc qui montre que la conf debian est pas ultra  securisé par default comme le pense parano :sarcastic: )
 
virer au moins dans la directive  suivante les options   Indexes et FollowSymLinks
 
<Directory /var/www/>
     Options Indexes Includes FollowSymLinks MultiViews
     AllowOverride None
     Order deny,allow
</Directory>

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed